ここが危ない!Web2.0のセキュリティ

第4回 Flash,JSONでのクロスドメインアクセス

この記事を読むのに必要な時間:およそ 3 分

Flashを用いたクロスドメインアクセス

前回までは,クロスドメインアクセスを行うための方法として,リバースProxyを使う方法とJSONPを使う方法を紹介しましたが,どちらの方法も少し変わった方法だったと思います。なにか無理やりのように感じた方もいるのではないでしょうか。今回紹介するFlashを使った方法では前回までの方法とは違い,自然な形でクロスドメインアクセスを行うことができます。

Flashでは,呼び出される側で設定を行うことでクロスドメインアクセスが可能になります。

設定といっても非常に簡単で,呼び出される側のWebサーバにcrossdomain.xmlというファイルを設置するだけです。このときのURLは

http://www.example.com/crossdomain.xml

となります。

ファイルの内容は以下のようになります。

crossdomain.xmlの内容

<cross-domain-policy>
 <allow-access-from domain="www.securesky-tech.com" />
</cross-domain-policy>

このように設定ファイルを記述すれば,www.securesky-tech.comからのクロスドメインアクセスを許可するという設定になります。

それでは,Flashではどのような順序でクロスドメインアクセスが行われるかを見ていきます。

図1 Flashでのクロスドメインアクセス

図1 Flashでのクロスドメインアクセス

まずユーザはFlashが置かれているサイトへアクセスしに行きます(1)。このFlashファイルにクロスドメインアクセスを行う命令が書かれています(2)。このとき,ブラウザはクロスドメインアクセスを行う前に,アクセス先のサイトからcrossdomain.xmlを取得します(3)。このファイルで許可設定がされている場合にのみ,クロスドメインアクセスが行われます(4)

XMLHttpRequestオブジェクトの場合にクロスドメインアクセスが完全に禁止されていたのとは対象的に,Flashの場合は,許可するか禁止するかを,設定ファイルによって変更することができるようになっています。ディレクトリごとに設定を変えたい場合には,サブディレクトリごとにcrossdomain.xmlファイルを置くことができます。なお,crossdomain.xmlファイルを設置していない場合はクロスドメインアクセスは行われません。

Flashでのクロスドメインアクセスを認める場合のセキュリティ

もしcrossdomain.xmlで許可設定をした場合,他のファイル(たとえばログイン後の画面)に対してまでクロスドメインアクセスができてしまいます。つまり,悪用されるとユーザの情報が盗まれてしまうことになります。許可設定を行う場合には,他のページで機密情報を扱っていないかを十分確認するようにしてください。

とくに,WebAPIを公開する際には注意が必要です。WebAPIを公開し,Flashからも利用してもらいたい場合,crossdomain.xmlファイルは以下のようになります。これはすべてのドメインからクロスドメインアクセスを認めるという設定になります。

WebAPIを公開する場合のcrossdomain.xmlの内容

<cross-domain-policy>
 <allow-access-from domain="*" />
</cross-domain-policy>

このとき,もし同じサイトで他のサービスを提供していた場合には,そのサービスに対してもクロスドメインアクセスが可能になってしまいます。その結果,第2回で説明したように,クロスドメインアクセスを悪用した情報漏えいが発生します。

このようなことを防ぐためには,まずクロスドメインでアクセスされることを許可するサービスと,そうでないサービスを明確にしておく必要があります。その上で,それぞれのサービスを別のドメインで提供するようにします。たとえば既存のサービスのドメインがwww.securesky-tech.comとなっている場合には,api.securesky-tech.comというドメインを作り,WebAPIを提供するようにします。また,サブディレクトリで分けることでも対策となります。

著者プロフィール

福森大喜(ふくもりだいき)

株式会社セキュアスカイ・テクノロジー CTO。大学の授業で作成したプログラムのセキュリティホールを指摘されたのがきっかけでセキュリティの道に進む。セキュリティベンダーでIDS,IRT等に従事した後,Webアプリケーションのセキュリティ検査サービスを立ち上げる。2006年4月に株式会社セキュアスカイ・テクノロジーを設立。

URLhttp://www.securesky-tech.com/

コメント

コメントの記入